Trust Wallet 承諾賠償聖誕節駭客攻擊中損失的 700 萬美元，CZ 表示

• Trust Wallet 遭駭客攻擊,透過瀏覽器擴充功能漏洞竊取 700 萬美元,攻擊者提前數週策劃此次入侵。
• Binance 確認將退款給所有受害者,專家指出該漏洞背後可能涉及內部人員。
• 駭客攻擊暴露更新審查機制的漏洞,被竊資金和用戶資料影響數百個錢包。

Trust Wallet 遭駭客攻擊暴露出嚴重的安全漏洞,攻擊者在聖誕假期期間悄悄從用戶手中竊取近 700 萬美元。此次入侵針對桌面用戶,透過遭到入侵的瀏覽器擴充功能進行攻擊,數天未被察覺。調查人員後來透露,此次行動提前數週策劃,使其成為一次精心計算的攻擊而非機會性襲擊。

Trust Wallet 表示,攻擊僅限於瀏覽器擴充功能 2.68 版本,並未影響其行動應用程式。該公司建議用戶將應用程式更新至 2.89 版本,該版本包含旨在防止漏洞運作的安全修復程式。由 Binance 擁有的 Trust Wallet 是全球最大的加密貨幣錢包之一,在全球擁有超過 2.2 億用戶。

趙長鵬確認 Trust Wallet 遭駭客攻擊後將退款給用戶

Binance 聯合創始人趙長鵬在入侵報告出現後就駭客攻擊事件向公眾發表聲明。他表示,Trust Wallet 將退款給所有受影響的用戶,並承擔損失。趙長鵬承認,此次駭客攻擊是一次非常嚴重的入侵,在加密貨幣安全日益受到審查的時期,重建用戶信任至關重要。

進一步分析顯示,Trust Wallet 駭客攻擊自 12 月初以來一直在進行。區塊鏈安全公司 SlowMist 聯合創始人余弦透露,該漏洞直到 12 月 8 日才被執行。12 月 22 日,他們成功將有害後門注入擴充功能中。資金隨後在聖誕節當天被轉移,入侵最終在那裡被發現。

資料來源:COS

惡意代碼不僅竊取數位資產。調查人員發現,惡意攻擊的代碼還收集了用戶個人資訊,並將其發布到攻擊者控制的伺服器上。根據區塊鏈研究員 ZachXBT 的說法,此次攻擊影響了數百名用戶,這表明受影響的不是少數受害者。

延伸閱讀:Upbit 駭客攻擊:177 萬美元被竊資產遭凍結,調查範圍擴大

業界對該漏洞的執行方式表示嚴重關切。攻擊者能夠透過官方發行平台通過修改版本的擴充功能。這使得一些專業人士質疑內部存取可能是一個因素。 

專家指出 Trust Wallet 入侵事件中可能存在內部人員參與

擔任政府間區塊鏈顧問的 Anndy Lian 將此事件描述為非常奇特,並認為內部人員參與的可能性很高。趙長鵬隨後聲稱,此次駭客攻擊很可能是利用內部資訊進行的。

Slowmist 余弦指出,攻擊者還展示了對 Trust Wallet 原始碼的深入了解。這種熟悉度也為後門提供了合法性,從而避免被早期發現。安全專家表示,這個問題反映了內部審查流程和批准更新系統中的漏洞。

Trust Wallet 駭客攻擊是 2025 年多起加密貨幣錢包盜竊案之一。根據 Chainalysis 的數據,今年個人錢包駭客攻擊約佔被竊加密貨幣價值損失的 37%,不包括 2 月份 Bybit 被駭的 14 億美元。儘管 Trust Wallet 的損失不如以往某些攻擊那麼大,但它們再次指出持續存在的風險。

資料來源:Chainalysis

業界領袖警告,此次入侵事件再次提醒人們需要持續監控加密貨幣安全。OKX 創始人 Star Xu 表示,這類事件顯示安全工作永遠不會完成,即使是受信任的平台,如果不採取適當預防措施,也可能面臨風險。

延伸閱讀:加密貨幣安全警報:Binance 的 CZ 針對 5,000 萬美元損失後的地址投毒攻擊